作者|储杏娟 对于很多人来说，辛辛苦苦写出来的代码，却被别人悄悄用于商业销售，这是非常讨厌的。近日，业内资深网络安全专家帕特里克沃德尔(Patrick Wardle)在《黑帽》中分享了他的开源代码在未被告知的情况下被至少三家独立公司使用的情况。 Patrick Wardle是一名优秀的macOS安全研究员，也是苹果重点关注的OBTS安全会议的组织者。他也是Objective-See Foundation的创始人，这是一个为macOS创建开源安全工具的非营利组织。这意味着沃德尔的许多软件代码现在都可以免费下载和修改，但这也使得他自己的代码被一些科技公司未经许可而采用。很多年后他也发现了。 沃德尔被称为Mac恶意软件专家，曾在美国国家安全局担任恶意软件分析师。在此期间，他分析了攻击国防部计算机系统的代码，并创建了macOS工具Sight，可以检查摄像头和麦克风是否被恶意软件操纵，并通过Objective-See免费发布了该工具。 当时是2016年，媒体披露网络犯罪分子利用恶意软件，通过用户的macOS网络摄像头和麦克风对人进行秘密监控。其中，一名黑客使用了一种名为“Fruitfly”的恶意软件来劫持笔记本电脑的网络摄像头，目的是监控儿童。在对这种新病毒进行了几个月的分析后，帕特里克沃德尔(Patrick Wardle)解密了部分代码，并设置了一个服务器来拦截来自被感染电脑的流量。 然而，几年后，当沃德尔为客户分析可疑代码时，他发现客户自己设备上的一个工具存在问题。该工具由一家大型科技公司开发，提供了与OverSight类似的功能，包括监控macOS网络摄像头和麦克风。 通过筛选程序，沃德尔找到了他非常熟悉的代码，他的整个“监督”算法，包括他的undelete bugs，都包含在这个程序中。他最终意识到，一个开发人员对他的工具进行了逆向工程，窃取了他的成果，并在一个名称不同但功能几乎相同的产品中重复使用。 “就像有人抄了你写的东西，抄了你的拼写和语法错误。”沃德尔说。后来，沃德尔的客户立即联系了该公司，并提醒他们的开发人员窃取沃德尔的代码。 这不是沃德尔最后一次发现一家公司使用了他的代码。后来，沃德尔发现另外两家大公司也在自己的产品中使用了他的算法。沃德尔没有透露这些公司的名称。 “你联系了这些公司，说，‘嘿，你们这些家伙，他们大多偷了我的东西。你逆向工程了我的工具，重新实现了算法3354，这在法律上非常.呃，灰色。但是在欧盟，有一条规定，你这样做是违法的。我有一个非营利组织。你实际上是从非营利组织窃取了信息，放在自己的业务代码中，然后从中获利。这是非常不合适的。”沃德尔说，“但这些公司有不同的反应。" “有些回复很友好。我曾经收到一位CEO的回复邮件，承认了这一点，并询问如何解决这个问题。但有人先回复我需要三周的内部调查，然后告诉我没有看到任何相同的代码，让我滚。”沃德尔说。当遇到后者时，沃德尔不得不需要更多的证据。 但事实上，要证明对方代码被盗是非常困难的。沃德尔说，他必须使用自己的闭源软件和逆向工程来理解那些公司的代码是如何工作的，并证明那些代码与他自己的代码相似。此外，沃德尔还与非营利组织电子前沿基金会(EFF)合作，该基金会为独立的安全研究人员提供免费的法律服务。 沃德尔之所以能够搞清楚代码是否被盗，是因为他自己既写了工具，又写了逆向工程软件，掌握了这两个特长，他就更容易找到证据。而像沃德尔这样有这种技术背景，在社区有一定影响力的开发者并不多，在维护自身权益时往往处于弱势地位。 去年，一位名叫Brendan Gregg的开发者披露了他的DTrace相关开源代码被Sun公司“窃取”的往事。那是更早的2005年，当时Gregg正忙着编写和发布DTrace相关的高级性能工具，然后发现Sun公司发布的相关工具甚至比他自己发布的还少。 Gregg不是Sun的员工，不了解公司的内部运作，但他也负责为Sun提供培训和咨询支持。有一次，Sun展示其基于DTrace的新产品，也就是在这个过程中，Gregg发现这些工具有些是自己写的脚本，而且这些工具非常不成熟，自己写的时候都是开源的。其中有许多奇怪的组合，他们的个人风格很强。格雷格还发现，孙也删除了他的作者姓名。但是格雷格最后没有得到任何补偿。 相比孙的行为，苹果和甲骨文的所作所为让格雷格舒服多了。Gregg说，几年后，苹果在OS X系统中加入了他的几十个工具，并完整保留了作者的姓名、版权和CDDL开源许可，甚至改进和增强了功能。若干年后，甲骨文在BSD社区采用了同样的吸收Oracle Solaris 11和FereBSD开源成果的方式。 事实上，为了自己的利益而窃取他人开源代码的案例很多。去年，特朗普支持的社交媒体平台Truth被乳齿象创始人告上法庭。乳齿象创始人欧根罗奇科(Eugen Rochko)表示，该应用声称从自己的开源项目中提取了大量代码。当时网友发现，Truth beta的界面和乳齿象基本一致，这个网站的一些代码和其他社交网络没有区别。 特朗普媒体和技术集团(TMTG)此前将Truth称为“专有软件”，并试图隐藏Truth基于乳齿象的事实。此事曝光后，其相关股价暴跌。 事实上，开源软件本身允许其他平台使用自己的代码，但开源软件的许可证要求用户提供自己的源代码以及对公众所做的任何修改。但是许多公司使用代码却没有任何解释。 沃德尔认为，这种现象的本质是，开发者的任务是找到某种解决方案，比如监听麦克风和摄像头，然后他们会找到相应的工具来逆向工程和窃取算法，而公司的目的是解决问题，而不问代码从何而来。 “我相信这是一个系统性问题，因为当我开始寻找时，我发现不止一家，而是几家，而这些公司完全没有关联。”沃德尔认为代码盗窃非常普遍。 对此，沃德尔建议，对于软件开发人员来说，任何编写代码(无论是开源代码还是封闭源代码)的人都应该假设它会被窃取，并学习有助于他们发现这种情况的技术。对于一个公司来说，管理者应该教育员工或开发人员不要偷窃，让他们仔细了解围绕着一个产品的逆向工程的法律规范，以获取商业利益，否则整个组织将面临法律风险。 此类事件的发生也不断提醒人们，开源软件的代码一定要规范，否则对公司的声誉和实际利益都没有好处。 参考链接： https://www.zhucesz.com/ https://www.zhucesz.com/ https://www.zhucesz.com/#wechat_redirect 报告/反馈